漏洞信息详情

Microsoft Access快照查看器ActiveX控件任意文件下载漏洞

• CNNVD编号：CNNVD-200807-096
• 危害等级： 超危
  
• CVE编号： CVE-2008-2463
• 漏洞类型： 代码注入
• 发布时间： 2008-07-07
• 威胁类型： 远程
• 更新时间： 2009-03-07
• 厂        商： microsoft
• 漏洞来源： Bill Sisk

漏洞简介

Microsoft Access是美国微软（Microsoft）公司Office套件中的一套关系数据库管理系统。

Microsoft Access中捆绑了快照查看器ActiveX控件用于方便的查看Access报表快照，该控件没有正确地验证某些输入参数。如果用户受骗访问了恶意站点的话，就可能导致将站点上的文件下载到用户机器的任意位置。目前这个漏洞正在被积极的利用。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.securityfocus.com/bid/30114/solution

参考网址

来源: US-CERT

名称: TA08-225A

链接:http://www.us-cert.gov/cas/techalerts/TA08-225A.HTML

来源: US-CERT

名称: TA08-189A

链接:http://www.us-cert.gov/cas/techalerts/TA08-189A.HTML

来源: US-CERT

名称: VU#837785

链接:http://www.kb.cert.org/vuls/id/837785

来源: XF

名称: microsoft-snapshotviewer-code-execution(43613)

链接:http://xforce.iss.net/xforce/xfdb/43613

来源: SECTRACK

名称: 1020433

链接:http://www.securitytracker.com/id?1020433

来源: BID

名称: 30114

链接:http://www.securityfocus.com/bid/30114

来源: www.microsoft.com

链接:http://www.microsoft.com/technet/security/advisory/955179.mspx

来源: VUPEN

名称: ADV-2008-2012

链接:http://www.frsirt.com/english/advisories/2008/2012/references

来源: SECUNIA

名称: 30883

链接:http://secunia.com/advisories/30883

来源: OVAL

名称: oval:org.mitre.oval:def:6120

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:6120

来源: HP

名称: HPSBST02360

链接:http://marc.info/?l=bugtraq&m=121915960406986&w=2

来源: HP

名称: HPSBST02360

链接:http://marc.info/?l=bugtraq&m=121915960406986&w=2

受影响实体

• Microsoft Office_snapshot_viewer_activex:Office_xp  
• Microsoft Office_snapshot_viewer_activex:Office2000  
• Microsoft Office_snapshot_viewer_activex:Office_2003  

补丁

暂无